Accord de Sous-Traitance de Données (DPA)

2.1 Nature et finalité des traitements

Leadsia déploie pour le compte du Client un agent conversationnel IA qui :

• Reçoit les messages entrants des prospects et clients du Client via plusieurs canaux (email, chat web, WhatsApp, LinkedIn, Meta Lead Ads).
• Génère des réponses automatisées et/ou suggestions à l'opérateur humain à l'aide de modèles de langage (LLM).
• Qualifie les prospects (scoring) et alimente le CRM du Client.
• Envoie les réponses via les canaux configurés après approbation automatique ou humaine selon la configuration.

2.2 Catégories de données traitées

• Données d'identification : nom, prénom, email, téléphone, entreprise.
• Données de conversation : messages écrits ou audio échangés entre le prospect et l'agent IA.
• Données techniques : IP, user-agent, identifiants de canal (ID WhatsApp, ID LinkedIn, etc.).
• Métadonnées métier : statut du lead, score, historique d'interactions, notes internes.

2.3 Catégories de personnes concernées

• Prospects et clients du Client (personnes physiques contactant ou contactées via les canaux connectés).
• Utilisateurs internes du Client (collaborateurs ayant un compte Leadsia).

2.4 Durée des traitements

Les traitements se poursuivent pendant toute la durée du contrat de service principal, et cessent à la résiliation. Leadsia s'engage à supprimer les données dans un délai de 30 jours après résiliation, sauf obligation légale de conservation.

3.1 Respect du RGPD

Leadsia s'engage à :

• Traiter les données uniquement sur instruction documentée du Client.
• Garantir la confidentialité des personnes autorisées à traiter les données (engagement de confidentialité signé par les collaborateurs).
• Mettre en œuvre les mesures techniques et organisationnelles appropriées (voir Annexe 1).
• Assister le Client dans l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité).
• Notifier au Client toute violation de données à caractère personnel dans un délai de 72 heures après en avoir pris connaissance (art. 33 RGPD).
• Coopérer avec l'autorité de contrôle (CNIL) en cas de demande.

3.2 Registre des traitements

Leadsia tient un registre des traitements conforme à l'article 30 RGPD, disponible sur demande écrite du Client.

3.3 Audits et contrôles

Le Client peut, à ses frais et moyennant un préavis de 30 jours, faire réaliser un audit de conformité (par lui-même ou un tiers mandaté, hors concurrent direct de Leadsia), limité à une fois par an sauf incident majeur.

6.1 Hébergement principal

Les données sont hébergées sur des serveurs Hetzner Online GmbH situés exclusivement en Allemagne (UE).

6.2 Transferts ponctuels — Appels LLM

Certains appels aux modèles LLM peuvent impliquer des transferts vers :

• Moonshot AI (Kimi K2.5) — Chine. Seules les données anonymisées (données d'identification remplacées par des identifiants génériques) sont transmises.
• Groq — États-Unis (DPF ou clauses contractuelles types).

Le Client peut, sur demande écrite, exiger une bascule exclusive vers un LLM européen (Mistral, Claude via proxy UE) ; un avenant tarifaire peut s'appliquer.

6.3 Garanties

Pour tous les transferts hors UE, Leadsia applique :

• Des clauses contractuelles types (CCT) approuvées par la Commission européenne.
• Une anonymisation systématique des données d'identification sensibles avant l'envoi.
• Le chiffrement en transit (TLS 1.3).